Was ist NIS2?
NIS2 (Network and Information Security Directive 2) ist eine Richtlinie der Europäischen Union, die ein hohes gemeinsames Niveau der Cybersicherheit für die EU-Mitgliedstaaten und die kritischen und wichtigen Einrichtungen/Unternehmen, die in ihnen tätig sind, festlegt.
Sie zielt darauf ab, die Cybersicherheit der Mitgliedstaaten zu verbessern, indem sie einen gemeinsamen Mindeststandard für die Sicherheit von Informationssystemen und Netzwerken festlegt. Die NIS2 basiert auf der NIS1, gilt jedoch für mehr Sektoren und Einrichtungen und führt neue Verpflichtungen sowohl für Unternehmen als auch für Mitgliedstaaten ein.
Die NIS2 harmonisiert die Cybersicherheitsmaßnahmen für Unternehmen, wobei der Schwerpunkt auf dem Risikomanagement und der Sicherheit der Lieferkette liegt, und legt harmonisierte Strafen für die Nichteinhaltung fest.
Warum ist NIS2 wichtig?
NIS2 ist eine Antwort auf die wachsende Zahl von Cyber-Bedrohungen und trägt dazu bei, den Schutz von Organisationen zu gewährleisten, die für die Wirtschaft und die Gesellschaft von entscheidender Bedeutung sind. Legt die persönliche Verantwortung für die Cybersicherheit in die Hände des Top-Managements von Organisationen und stellt so sicher, dass echte Maßnahmen zur Gewährleistung der Cybersicherheit ergriffen werden.
Für wen ist NIS2 gedacht?
Kurz gesagt – indirekt für alle Unternehmen, die in der EU tätig sind. Da die NIS2 den Unternehmen, für die die Richtlinie gilt, die Verantwortung auferlegt, die Cybersicherheit ihrer Lieferkette zu gewährleisten, werden auch die meisten Unternehmen, die nicht direkt unter die Richtlinie fallen, ihre Cybersicherheit systematisch angehen müssen.
Direkt anwendbar auf NIS2:
Kritische Dienstleister Bedeutende Einrichtungen/Unternehmen, die in hochkritischen Sektoren tätig sind: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (Business-to-Business), öffentliche Verwaltung, Raumfahrt.
Wichtige Dienstleister Bedeutende Unternehmen, die in anderen kritischen Sektoren tätig sind: Post- und Kurierdienste, Abfallwirtschaft, Produktion, Herstellung und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, verarbeitendes Gewerbe, digitale Dienstleistungen, Forschung.
Alle Unternehmen, die mehr als 50 Mitarbeiter und mehr als 10 MEUR Jahresumsatz oder Bilanzsumme haben.
Wann wird die Richtlinie angewendet?
Oktober 2024 oder handeln Sie jetzt!
Die Verordnung tritt im Jahr 2023 in Kraft.
Sie muss bis zum 17. Januar in nationales Recht umgesetzt werden.
Oktober 2024.
Was sind die Sanktionen bei Nichteinhaltung?
Für ein Unternehmen Bis zu 10 MEUR oder 2% des weltweiten Jahresumsatzes (der höhere der beiden Werte).
Für Top-Führungskräfte Erhebliche Geldstrafen für Privatpersonen. Mögliche strafrechtliche Haftung in schwerwiegenderen Fällen.
Wie können Sie die NIS2-Richtlinie einhalten?
- Bewertung der NIS2-Konformität durchführen
- Nehmen Sie eine Risikobewertung vor
- Führen Sie eine gründliche Prüfung der Cybersicherheit und der Infrastruktur durch
- Erstellen Sie einen Plan zur Umsetzung eines Cybersicherheitsrahmens (z.B. ISO27001).
- Fügen Sie dem Plan die Schritte aus der NIS2-Richtlinie hinzu, die nicht durch ISO 27001 abgedeckt sind.
- Setzen Sie den Plan Schritt für Schritt um (zeigen Sie Fortschritte)
- Implementieren Sie einen Prozess zur Erkennung und Meldung von Vorfällen gemäß NIS2.
- Regelmäßige Schulungen für Mitarbeiter und Management
- Stellen Sie sicher, dass das Cybersicherheitsniveau Ihrer Partner in der Lieferkette auf dem neuesten Stand ist – bewerten und überwachen Sie regelmäßig.
- Führen Sie regelmäßig Audits zur Cybersicherheit und Penetrationstests durch.
- Dokumentieren Sie alles und halten Sie die Dokumentation auf dem neuesten Stand
Wenn ein Unternehmen nach ISO 27001 zertifiziert ist, erfüllt es dann automatisch die Anforderungen von NIS2?
Nicht automatisch, aber höchstwahrscheinlich. Darüber hinaus stellt die NIS2-Richtlinie zusätzliche oder strengere Anforderungen an ISO 27001:
- Detailliertere Anforderungen an das Risikomanagement, insbesondere an das Risikomanagement in der gesamten Lieferkette.
- Meldepflichten – ISO 27001 enthält keine spezifischen Anforderungen für die Meldung von Vorfällen, aber NIS2 verlangt eine Meldung an die zuständigen Behörden und manchmal auch an die Öffentlichkeit.
Wie kann OIXIO Cyber helfen?
- NIS2-Konformitätsbewertungsdienst
- Cybersecurity Audit Service und Erstellung eines Entwicklungsplans
- Bewertung des Cyber-Risikos
- Cybersecurity-Beratung und CISOaaS
- Schulungen zur Cyber-Hygiene
- Cyber Security Centre as a Service SOCaaS – Erkennung von Vorfällen, Reaktion, Lösung und Benachrichtigung.
- Auswahl, Architektur, Verkauf, Einsatz und Verwaltung von Cybersicherheitstechnologien.
OIXIO Cyber ist die Nr. 1 bei der Implementierung von Cybersicherheit mit einem starken Team und viel Erfahrung; der höchste NPS in Estland; ISO 27001-Zertifizierung; 24/7 SOC; der Partner auf höchster Ebene bei Anbietern von Cybersicherheit.
Warum OIXIO als Ihr Partner für Cybersicherheit?
- Erfahrungen aus Estland
- Estland ist das erste Land der Welt, das unter dem russischen Cyberangriff zu leiden hatte. Dies schuf eine starke Grundlage und die Notwendigkeit für ein Höchstmaß an Cybersicherheit.
- Das NATO Cyber Defence Cooperation Center mit Sitz in Estland ist ein internationales Kompetenzzentrum, eine Denkfabrik und eine von der NATO akkreditierte Ausbildungseinrichtung. Link ENG: https://mil.ee/en/landforces/ccdcoe/
- Estland ist ein Vorreiter bei der Entwicklung innovativer und anpassungsfähiger Gesetze zur Cybersicherheit, die sowohl die Prävention und Reaktion auf Cyberkriminalität als auch den Datenschutz umfassen.
- Estland ist bekannt für seine fortschrittliche und sichere e-State-Infrastruktur, die auf starken Cybersicherheitsstandards aufbaut.
- Die Erfolgsgeschichte Estlands als E-Staat steht in direktem Zusammenhang mit dem hohen Niveau der Cybersicherheit. Von digitalen Wahlen bis hin zum E-Residency-Programm.
- Neben den Anforderungen der NIS2-Richtlinie stützen wir uns auch auf die Rahmenwerke und Standards des CIS (Center for Internet Security), ISO27001 und der australischen ASD.
Ein starkes und zertifiziertes Team: Unsere Auditoren verfügen über insgesamt mehr als 70 technische Zertifizierungen (z.B. CISSP, CEH, SC-200, CSA, CCNP, NSE8, MS-500, AZ-500 CHFI, usw.), was beweist, dass sie die Besten auf ihrem Gebiet sind.- Zahlreiche Audits zur Cybersicherheit, Risiko- und Compliance-Bewertungen durchgeführt
- OIXIO ist ISO 27001 zertifiziert
- 24×7 besetztes Cybersicherheitszentrum SOC
- Ein langjähriger erstklassiger Partner der weltweit führenden Hersteller von Cybersicherheitstechnologie
- Theorie und Praxis gehen Hand in Hand – wir sind in der Lage, die Situation zu beurteilen, einen Entwicklungsplan zu entwickeln und alle Entwicklungsaktivitäten in die Praxis umzusetzen.